Auf dieser Seite werden die Richtlinien für Präventiv- und Erkennungsfunktionen beschrieben, die in Version 1.0 des vordefinierten Sicherheitsstatus für VPC Service Controls enthalten sind. Dieser Sicherheitsstatus enthält zwei Richtliniensätze:
Ein Richtliniensatz, der Organisationsrichtlinien enthält, die für VPC Service Controls gelten.
Ein Richtliniensatz, der benutzerdefinierte Security Health Analytics-Detektoren enthält, die für VPC Service Controls gelten.
Mit diesem vordefinierten Sicherheitsstatus können Sie einen Sicherheitsstatus konfigurieren, der VPC Service Controls schützt. Sie können diesen vordefinierten Sicherheitsstatus bereitstellen, ohne Änderungen vorzunehmen.
Einschränkungen für Organisationsrichtlinien
In der folgenden Tabelle werden die Organisationsrichtlinien beschrieben, die in diesem Sicherheitsstatus enthalten sind.
Richtlinie | Beschreibung | Compliancestandard |
---|---|---|
compute.skipDefaultNetworkCreation |
Diese Richtlinie deaktiviert die automatische Erstellung eines VPC-Netzwerk und von Standardfirewallregeln in jedem neuen Projekt. So wird sichergestellt, dass Netzwerk- und Firewallregeln absichtlich erstellt werden. Der Wert lautet |
NIST SP 800-53-Kontrolle: SC-7 und SC-8 |
ainotebooks.restrictPublicIp |
Diese Einschränkung beschränkt den Zugriff über öffentliche IP-Adressen auf neu erstellte Vertex AI Workbench-Notebooks und ‐Instanzen. Standardmäßig können öffentliche IP-Adressen auf Vertex AI Workbench-Notebooks und ‐Instanzen zugreifen. Der Wert ist |
NIST SP 800-53-Kontrolle: SC-7 und SC-8 |
compute.disableNestedVirtualization |
Diese Richtlinie deaktiviert die verschachtelte Virtualisierung für alle Compute Engine-VMs, um das Sicherheitsrisiko für nicht überwachte verschachtelte Instanzen zu verringern. Der Wert ist |
NIST SP 800-53-Kontrolle: SC-7 und SC-8 |
Security Health Analytics – Detektoren
In der folgenden Tabelle werden die Detektoren von Security Health Analytics beschrieben, die im vordefinierten Sicherheitsstatus enthalten sind. Weitere Informationen zu diesen Detektoren finden Sie unter Sicherheitslückenergebnisse.
Detektorname | Beschreibung |
---|---|
FIREWALL_NOT_MONITORED |
Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht zum Überwachen von Änderungen der VPC-Firewallregel konfiguriert sind. |
NETWORK_NOT_MONITORED |
Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht zum Überwachen von VPC-Netzwerkänderungen konfiguriert sind. |
ROUTE_NOT_MONITORED |
Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht zum Überwachen von Änderungen der VPC-Netzwerkroute konfiguriert sind. |
DNS_LOGGING_DISABLED |
Dieser Detektor prüft, ob DNS-Logging im VPC-Netzwerk aktiviert ist. |
FLOW_LOGS_DISABLED |
Dieser Detektor prüft, ob Flusslogs im VPC-Subnetzwerk aktiviert sind. |
YAML-Definition
Im Folgenden finden Sie die YAML-Definition für den vordefinierten Status für VPC Service Controls.
name: organizations/123/locations/global/postureTemplates/vpcsc_essential
description: VPCSC Posture Template
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: VPCSC preventative policy set
description: 3 org policies that new customers can automatically enable.
policies:
- policy_id: Skip default network creation
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.skipDefaultNetworkCreation
policy_rules:
- enforce: true
description: This boolean constraint skips the creation of the default network and related resources during Google Cloud Platform Project resource creation where this constraint is set to True. By default, a default network and supporting resources are automatically created when creating a Project resource.
- policy_id: Restrict public IP access on new Vertex AI Workbench notebooks and instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: ainotebooks.restrictPublicIp
policy_rules:
- enforce: true
description: This boolean constraint, when enforced, restricts public IP access to newly created Vertex AI Workbench notebooks and instances. By default, public IPs can access Vertex AI Workbench notebooks and instances.
- policy_id: Disable VM nested virtualization
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableNestedVirtualization
policy_rules:
- enforce: true
description: This boolean constraint disables hardware-accelerated nested virtualization for all Compute Engine VMs belonging to the organization, project, or folder where this constraint is set to True. By default, hardware-accelerated nested virtualization is allowed for all Compute Engine VMs running on Intel Haswell or newer CPU platforms.
- policy_set_id: VPCSC detective policy set
description: 5 SHA modules that new customers can automatically enable.
policies:
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED